bearer
v1.47.0
Introdução - Perguntas frequentes - Documentação - Relatório um bug - Comunidade Discord
CLI do portador : vá • Java • JavaScript • TypeScript • PHP • Python • Ruby
Bearer Pro por Cycode : C# • Kotlin • Elixir + tudo no portador OSS
Saiba mais sobre o idioma support
O CLI do portador examina seu código -fonte para:
Riscos de segurança e vulnerabilidades usando regras internas que cobrem o OWASP Top 10 e o CWE Top 25, como:
Nota: Todas as regras e seus padrões de código são acessíveis através da documentação.
Os riscos de privacidade com a capacidade de detectar fluxo de dados sensíveis, como o uso de PII, PHI em seu aplicativo e componentes, processando dados sensíveis (por exemplo, bancos de dados como PGSQL, APIs de terceiros, como OpenAI, Sentry, etc.). Isso ajuda a gerar um relatório de privacidade relevante para:
Descubra seus riscos e vulnerabilidades de segurança mais críticos em apenas alguns minutos. Neste guia, você instalará a CLI do portador, executará uma verificação de segurança em um projeto local e visualizará os resultados. Vamos começar!
A maneira mais rápida de instalar a CLI do portador é com o script de instalação. Ele se selecionará automaticamente a melhor construção para sua arquitetura. Padrão a instalação para ./bin e para a versão mais recente de lançamento :
curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | shUsando a torneira oficial da CLI da CLI:
brew install bearer/tap/bearerAtualize uma instalação existente com o seguinte:
brew update && brew upgrade bearer/tap/bearersudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearerAtualize uma instalação existente com o seguinte:
sudo apt-get update
sudo apt-get install bearerAdicionar configuração do repositório:
$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0Em seguida, instale com Yum:
sudo yum -y update
sudo yum -y install bearerAtualize uma instalação existente com o seguinte:
sudo yum -y update bearerO CLI do portador também está disponível como uma imagem do Docker no Docker Hub e Ghcr.io.
Com o Docker instalado, você pode executar o seguinte comando com os caminhos apropriados no lugar dos exemplos.
docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan Além disso, você pode usar o Docker Compose. Adicione o seguinte ao seu arquivo docker-compose.yml e substitua os volumes pelos caminhos apropriados para o seu projeto:
version : " 3 "
services :
bearer :
platform : linux/amd64
image : bearer/bearer:latest-amd64
volumes :
- /path/to/repo:/tmp/scan Em seguida, execute o comando docker compose run para executar a CLI do portador com quaisquer sinalizadores especificados:
docker compose run bearer scan /tmp/scan --debugAs configurações do Docker acima sempre usarão a versão mais recente.
Faça o download do arquivo de arquivo para o seu sistema/arquitetura operacional a partir daqui.
Desembale o arquivo e coloque o binário em algum lugar do seu caminho $ (em sistemas unix-y,/usr/local/bin ou similares). Verifique se tem permissão para executar.
Para atualizar a CLI do portador ao usar o binário, faça o download da versão mais recente e substitua seu local de instalação existente.
A maneira mais fácil de experimentar a CLI do portador é com o projeto Owasp Juice Shop. Ele simula um aplicativo JavaScript realista com falhas de segurança comuns. Clone ou faça o download de um local conveniente para começar.
git clone https://github.com/juice-shop/juice-shop.git Agora, execute o comando de varredura com bearer scan no diretório do projeto:
bearer scan juice-shopUma barra de progresso exibirá o status da varredura.
Depois que a varredura estiver concluída, a CLI do portador será lançada, por padrão, um relatório de segurança com detalhes de qualquer descoberta de regra, bem como onde na base de código as infrações ocorreram e por quê.
Por padrão, o comando scan usa o scanner SAST, outros tipos de scanner estão disponíveis.
O relatório de segurança é uma visão facilmente digerível dos problemas de segurança detectados pela CLI do portador. Um relatório é composto de:
O aplicativo Owasp Juice Shop Exemplo acionará as descobertas das regras e produzirá um relatório completo. Aqui está uma seção da saída:
...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session
File: juice-shop/frontend/src/app/login/login.component.ts:102
102 localStorage.setItem('email', this.user.email)
=====================================
59 checks, 40 findings
CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0
Além do relatório de segurança, você também pode executar um relatório de privacidade.
Pronto para a próxima etapa? Opções adicionais para usar e configurar o comando scan podem ser encontradas na configuração do comando de varredura.
Para mais guias e dicas de uso, consulte os documentos.
Sabe -se que as ferramentas da SAST enterram equipes de segurança e desenvolvedores abaixo de centenas de questões com pouco contexto e nenhum senso de prioridade, muitas vezes exigindo que os analistas de segurança triagem de triagem manualmente.
O ativo mais vulnerável hoje são os dados sensíveis, por isso começamos por aí e priorizamos as descobertas, avaliando fluxos de dados sensíveis para destacar o que é mais crítico e o que não é. Essa habilidade única também nos permite fornecer um scanner de privacidade.
Acreditamos que, ao vincular problemas de segurança a um claro impacto comercial e risco de uma violação de dados ou vazamento de dados, podemos criar software melhor e mais robusto, sem nenhum custo extra.
Além disso, por ser livre e aberto, extensível por design e construído com um grande desenvolvedor UX em mente, apostamos que você verá a diferença para si mesmo.
Além de detectar falhas de segurança em seu código, a CLI do portador permite automatizar o processo de coleta de evidências necessário para gerar um relatório de privacidade para sua equipe de conformidade.
Quando você executa a CLI do portador na sua base de código, ela descobre e classifica os dados identificando padrões no código -fonte. Especificamente, ele procura tipos de dados e corresponde a eles. Mais importante, ele nunca vê os valores reais - simplesmente não pode - mas apenas o próprio código. Se você quiser aprender mais, aqui está a explicação mais longa.
O CLI do portador é capaz de identificar mais de 120 tipos de dados de categorias de dados confidenciais, como dados pessoais (DP), PD sensível, informações de identificação pessoal (PII) e informações pessoais de saúde (PHI). Você pode visualizar a lista completa na documentação dos tipos de dados suportados.
Por fim, a CLI do portador também permite detectar componentes que armazenam e processando dados confidenciais, como bancos de dados, APIs internas e APIs de terceiros. Consulte a lista de receitas para obter uma lista completa de componentes.
Atualmente, a CLI do portador suporta:
| Ga | JavaScript/TypeScript, Ruby, Php, Java, Go, Python |
| Beta | - |
| Alfa | - |
Saiba mais sobre o suporte à linguagem.
Depende do tamanho de seus aplicativos. Pode levar apenas 20 segundos, até alguns minutos para uma base de código extremamente grande.
Como regra geral, a CLI do portador nunca deve levar mais tempo do que executar seu conjunto de testes.
No caso de integração de IC, fornecemos uma solução de varredura diff para torná -la ainda mais rápida. Saber mais.
Se você conhece as ferramentas SAST, os falsos positivos são sempre uma possibilidade.
Ao usar as técnicas mais modernas de análise de código estático e fornecer uma solução nativa de filtragem e priorização das questões mais importantes, acreditamos que melhoramos drasticamente a experiência geral do SAST.
Nós nos esforçamos para oferecer a melhor experiência possível para nossos usuários. Saiba mais sobre como alcançamos isso.
Recomendamos a execução da CLI do portador em seu CI para verificar novos PRs automaticamente quanto a problemas de segurança, para que sua equipe de desenvolvimento tenha um loop de feedback direto para corrigir problemas imediatamente.
Você também pode integrar a CLI do portador em seu CD, embora recomendemos configurá -lo apenas para falhar apenas em problemas de alta crítica, pois o impacto para sua organização pode ser importante.
Além disso, a execução da CLI do portador como um trabalho programado é uma ótima maneira de acompanhar sua postura de segurança e garantir que novos problemas de segurança sejam encontrados mesmo em projetos com baixa atividade.
Leia nosso Guia de Estratégia de Integração para obter mais informações.
Obrigado por usar o CLI do portador. Ainda tem perguntas?
Interessado em contribuir? Estamos aqui para isso! Para obter detalhes sobre como contribuir, configurar seu ambiente de desenvolvimento e nossos processos, revise o guia de contribuição.
Todos que interagem com este projeto devem seguir as diretrizes do nosso código de conduta.
Para relatar uma vulnerabilidade ou suspeita de vulnerabilidade, consulte nossa política de segurança. Para qualquer dúvida, preocupações ou outros assuntos de segurança, sinta -se à vontade para abrir um problema ou ingressar na comunidade Discord.
O Código da CLI do portador está licenciado nos termos da Licença Elastic 2.0 (ELV2), o que significa que você pode usá -lo livremente dentro de sua organização para proteger seus aplicativos sem requisitos comerciais.
Você não tem permissão para fornecer à CLI do portador terceiros como serviço hospedado ou gerenciado sem a aprovação explícita da Bearer Inc.
